サイバー攻撃による被害が深刻化する一方で、今年5月に「サイバー対処能力強化法」という新しい法律が成立した。これらの動向から企業に求められるセキュリティ対策が変化しつつある。そこでサイバーセキュリティの専門家である東京大学 先端科学技術研究センター 客員研究員 西尾素己氏に、サイバーセキュリティの最新事情と対策のアドバイスを伺った。
ITインフラは経営の「アキレス腱」
IT部門だけでは守れない
MOEKO●最近日本でサイバー攻撃を受けて複数の工場が停止してしまい、甚大な被害が出たというニュースが報じられていて、セキュリティ対策の相談が増えているんです。私が担当しているお客さまは中小企業が多く、限られた予算で効果的なセキュリティ対策をしたいというのですが、どんな提案が適切なのか分からなくて困ってます。助けてください。
西尾先生●サイバー攻撃で狙われるような重要なデータはないと思われることも多い中小企業にも、大企業と同様のセキュリティ対策が不可欠なのです。攻撃者は企業の規模を問わずマルウェアをばらまく傾向にあり、その中で餌食になりやすいのがセキュリティ対策の手薄な中小企業だと言えます。侵入した中小企業を踏み台として、その取引先の大きな企業に攻撃を仕掛けるケースが多くあります。
法律の面でも企業の規模を問わずセキュリティの強化が求められています。今年5月に「能動的サイバー防御」に関する法制度として「サイバー対処能力強化法」および「同整備法」が成立しました。
能動的サイバー防御とはアクティブ・サイバー・ディフェンス(ACD)とも呼ばれ、外部からのサイバー攻撃に対して「被害が発生する前の段階からその兆候に係る情報の収集を通じて探知し、その攻撃主体を特定するとともに排除のための措置を講じること」です。つまり国が攻撃の兆候を早期に検知して事前に対策を講じることを可能にします。
サイバー対処能力強化法では日本政府や重要インフラ企業がサイバー攻撃を受けた、あるいはその兆候があることを検知した場合、その踏み台となっているサーバーの管理者に対して停止命令を出します。さらに踏み台となっているサーバーに対して攻撃することも法律上は可能になっています。
MOEKO●踏み台となっているサーバーというのは企業が運用するサーバーも含まれるのですか。
西尾先生●もちろんです。もしも自社のサーバーが踏み台にされて日本政府や重要インフラ企業を攻撃したり、その兆候が検知されたりしたら、国による停止命令に従ってサーバーを停止しなければならなくなります。サーバーで稼働するシステムによっては業務や取引が停止してしまい、深刻な損害が生じることになるのです。
これはサイバー攻撃によってシステムが停止するのではなく、法律に従ってシステムを停止しなければならなくなるということです。その結果、倒産する恐れもありますよね。この法令の実際の運用がどうなるかは現時点では分かりませんが、法律上はこのようなことがあり得ます。
仲西さん●セキュリティ対策をIT部門が管轄している企業が多いと思いますが、これからは経営者が自社の経営リスクとして管理すべき問題だと言えますね。
西尾先生●おっしゃる通りです。ITインフラが健全に動き続けることと、企業が正常に経営を続けることは直結しており、ITインフラは経営の「アキレス腱」と捉えて守るべきだとよくお話ししています。
東京大学
先端科学技術研究センター
客員研究員
西尾素己 氏
日本マイクロソフト
デバイスパートナー
セールス事業本部
マーケティング戦略本部
Commercial Windows
戦略部長
仲西和彦 氏
MOEKOさん
ダイワボウ情報システム(DIS)に勤める入社2年目の営業職。顧客の課題に親身になって向き合う姿勢が評価されている伸び盛りの若手社員。次々と出てくる新しいテクノロジーの理解に苦戦している。
簡単かつ低コストでできる
セキュリティ対策のポイント
MOEKO●セキュリティ対策の重要性は理解しているつもりでしたが、西尾先生のお話を聞いて重要性の認識が甘いことを実感しました。では経営のアキレス腱であるITインフラを守るために、何から取り組めばいいのですか。
西尾先生●サイバー攻撃にはいろいろな手法がありますが、ほとんどのケースで攻撃の入口となるのがPCです。ですからPCのセキュリティ強化が非常に重要なんです。
具体的な強化策として三つのポイントがあります。一つ目はセキュリティ強度の高いOSを選ぶこと。そしてそのOSが常に最新であることが二つ目となります。セキュリティ強度の高いOSとしてWindowsが挙げられます。Windowsは世界で最もサイバー攻撃を受けている、受けた経験のあるOSです。いろいろなサイバー攻撃にさらされながらセキュリティを強化して進化し続けています。こうした点でWindowsはサイバー攻撃に強いOSだと言えます。
ただしWindowsであっても、最新版でなければセキュリティの強度が十分でないことは説明するまでもないでしょう。Windowsの最新版であるWindows 11を選び、最新の更新プログラムを適用することで、より安全なソフトウェア環境が実現できます。10月14日にWindows 10のサポートが終了しましたが、サポート終了後もWindows 10を使い続けるのは言語道断ですね。
PC選びを見直すだけで
セキュリティを強化できる
西尾先生●三つ目のポイントを説明する前に、一つ質問しましょう。マルウェアに感染して被害が生じるまでどのくらいの時間がかかると思いますか。
MOEKO●数日はかかりそうな気がしますが、どうでしょう。
西尾先生●答えは「6分」です。マルウェアに感染してからたった6分で被害が出るんです。これは攻撃者がAIを利用するようになったことが原因です。AIを利用することでマルウェアを作るのも、感染させてから被害を生じさせるのも非常に短い時間でできるようになりました。
わずか6分の間に感染を把握して適切に対処するのは人手では不可能です。守る側もAIを利用しなければ対処できません。今後は業務の効率化だけではなくセキュリティの強化においてもAIの利用が不可欠です。こうした観点からAIの利用に適したAI PCを選ぶことがセキュリティの強化につながると言えます。
同時にハードウェアレベルのセキュリティ対策が講じられているPCを選ぶことも重要です。最近のサイバー攻撃ではOSよりも下のファームウェアを狙うケースが増えています。この攻撃からPCを守れるのはハードウェアレベルのセキュリティ対策が講じられているPCだけです。
ソフトウェアによるセキュリティ対策はユーザー自身で行えますが、ハードウェアレベルのセキュリティ対策はPCメーカーしか行えません。ですからハードウェアレベルのセキュリティ対策が講じられたWindows 11搭載のAI PCを選ぶことが、最も簡単で低コストなセキュリティの強化策だと言えます。
